Debian セキュリティ勧告
DSA-2458-2 iceape -- 複数の脆弱性
- 報告日時:
- 2012-05-13
- 影響を受けるパッケージ:
- iceape
- 危険性:
- あり
- 参考セキュリティデータベース:
- Mitre の CVE 辞書: CVE-2012-0455, CVE-2012-0456, CVE-2012-0458, CVE-2012-0461, CVE-2012-0467, CVE-2012-0470, CVE-2012-0471, CVE-2012-0477, CVE-2012-0479.
- 詳細:
-
Seamonkey の商標非使用版 Iceape インターネットプログラム群に複数の欠 陥が発見されました。
- CVE-2012-0455
Soroush Dalili さんにより、Javascript に対するクロスサイトスクリ プティング攻撃への対処が迂回可能であることが発見されました。
- CVE-2012-0456
Atte Kettunen さんにより、SVG フィルタに範囲外読み出しがあり、メ モリ内容の漏洩に繋がることが発見されました。
- CVE-2012-0458
Mariusz Mlynski さんにより、ホームページの Javascript により特権 の昇格が可能であることが発見されました。
- CVE-2012-0461
Bob Clary さんにより、任意のコードの実行に繋がるメモリ破壊バグが 発見されました。
- CVE-2012-0467
Bob Clary, Christian Holler, Brian Hackett, Bobby Holley, Gary Kwong, Hilary Hall, Honza Bambas, Jesse Ruderman, Julian Seward, および Olli Pettay の各氏により、任意のコードの実行に繋がるメモリ 破壊バグが発見されました。
- CVE-2012-0470
Atte Kettunen さんにより、gfxImageSurface にメモリ破壊を起こすバグ があり、任意のコードの実行が可能であることが発見されました。
- CVE-2012-0471
Anne van Kesteren さんにより、不正なマルチバイトオクテットエンコー ディングによりがクロスサイトスクリプティング攻撃に繋がることが発見 されました。
- CVE-2012-0477
Masato Kinugawa さんにより、韓国語と中国語のエンコーディングに誤り があるため、クロスサイトスクリプティング攻撃に繋がることが発見され ました。
- CVE-2012-0479
Jeroen van der Gun さんにより、HTTPS を用いた Atom と RSS フィード に詐称を許す欠陥が発見されました。
安定版 (stable) ディストリビューション (squeeze) では、この問題はバー ジョン 2.0.11-12 で修正されています。
不安定版 (unstable) ディストリビューション (sid) では、この問題は近 く修正予定です。
直ぐに iceape パッケージをアップグレードすることを勧めます。
- CVE-2012-0455